The saddest aspect of life right now is that science gathers knowledge faster than society gathers wisdom. - Isaac Asimov, scientist and writer (1920-1992)

29 ianuarie 2014

Evitarea erorilor judiciare cauzate de IP-spoofing in criminalitatea informatica.

Scenariul pe care il luam in discutie astazi deriva dintr-un caz real si porneste de la o sesizare facuta de Interpol catre Politia Romana privitor la descarcare si distribuire de materiale pornografice cu minori de la o anumita adresa IP din Romania.

Sesizarea este urmata, evident de cerere catre furnizorul de servicii internet care pune la dispozitia autoritatilor datele de identificare ale titularului conexiunii, dimpreuna cu eventuale date de trafic daca le are si de supravegherea IP-ului o perioada. Totul conform cu cerintele legale si procedurale.


Dupa o perioada de interceptare eventuala a conexiunii se ajunge la celelalte etape:
  • Mandat de Perchezitie domiciliara.
  • Ridicarea tuturor calculatoarelor si mediilor de stocare din casa titularului conexiunii.
  • Retinerea acestuia pentru 24 de ore cu propunerea de arestare preventiva pentru 30 de zile, intrucat, cel putin in cazul pornografiei infantile pedeapsa prevazuta permite acest lucru si masura se justifica pentru a impiedica stergerea de alte urme posibile inca neidentificate de anchetatori.
  • Propunerea de arestare preventiva este aprobata pentru 30 de zile.
  • Se dispune perchezitia informatica a mediilor si dispozitivelor ridicate de la invinuit.
  • Trec cele 30 de zile in care inculpatul/invinuitul sta in arest – iar perchezitia informatica inca nu se finalizeaza datorita gradului mare de ocupare a specialistilor si laboratoarelor disponibile.
  • Urmeaza cererea de prelungire a mandatului de arestare preventiva, care are sanse mari sa se aprobe cel putin inca o data mai ales datorita gravitatii invinuirilor, perchezitia informatica nefiind inca finalizata.
Dar ce se intampla daca la finalul perchezitiei informatice (timp in care invinuitul/inculpatul a stat in arest preventiv un total de 60 sau 90 de zile) nu se gaseste nici o urma de materiale pornografice cu minori in mediile de stocare ale acestuia, singura dovada fiind cea continuta in sesizarea primita de politie ca s-au descarcat/partajat materiale de la IP-ul acestuia?

Va fi scos de sub urmarire? Va fi trimis in judecata doar in baza sesizarii referitoare la IP dar fara nici o alta dovada? Ce se intampla cu zilele de arest preventiv in situatia data?

Dilema pentru Parchet este mare in acel moment datorita expunerii pe tema erorilor judiciare si pe buna dreptate, mai ales in situatia in care, in realitate, conexiunea internet a invinuitului a fost utilizata de catre altcineva pentru a comite fapta, fie din neglijenta/necunoasterea titularului privitoare la parolarea conexiunii, fie prin alte tehnici de IP-spoofing prin care un membru al aceleiasi retele le-ar putea utiliza pentru a-si aroga IP-ul extern al titularului nostru.

Se putea evita o atare situatie? Noi tindem sa credem ca da si vom incerca cateva directii de abordare:
  • Prealabil perchezitiei domiciliare, manualele de bune practici din domeniu indica ca fiind necesare acte prealabile de investigatie de politie/detectivistice clasice in legatura cu suspectul, ideala fiind dovedirea prezentei la domiciliu si daca se poate chiar la tastatura a acestuia. Aici pot intra: filaj, supraveghere domiciliu, verificari la vecini, la locul de munca, etc.
  • Expertizarea de la inceput a routerului: Avea sau nu conexiune WiFi protejata? Cat de usoara de ghicit era parola in cazul in care fusese stabilita una? Ce alte computere/MAC-uri s-au conectat la el in aceeasi perioada?  Dificultatea majora in aceasta situatie: routerele ieftine din comert nu pastreaza in Log-uri decat un numar mic de inregistrari ale acordarii de IP intern. Aceasta expertizare trebuind sa fie urmata de investigarea noilor piste in cazul in care se identifica anomalii.
  • Verificari suplimentare la furnizorul de internet privind posibilitatea tehnica ca alcineva sa-si fi arogat IP-ul respectiv (IP-Spoofing) in perioada comiterii faptelor (in speta, inregistrari privind MAC-ul si daca acesta poate varia, sau greseli ale furnizorului in a se proteja impotriva IP-spoofing-ului).
    Documentarea acestei posibilitati la provider. Nu sunt sigure 100% in conditiile in care se poate schimba MAC-ul inainte de inregistrarea in retea. Dar constituie un pas.
  • Corelarea momentului conexiunii cu inregistrari de la alti provideri de servicii (email, messenger), etc.
Pentru construirea dosarului si aflarea adevarului, in opinia noastra, toate actele de mai sus ar trebui sa fie prealabile cel putin momentului propunerii de arestare preventiva pe 30 de zile. In ceeace priveste verificarea si documentarea configuratiei routerului, aceasta rareori poate depasi ca timp cele 24 de ore initiale.

Mai pot fi si alte modalitati si va invitam sa ne lasati sugestiile dvs. in comentarii, importanta fiind in toate cauzele atat aflarea adevarului, cat si evitarea de la inceput a posibilelor erori judiciare.

2 comentarii:

  1. faina e speta. acu, daca eu as fi aparatorul, treaba e destul de clara ce am de facut. partea mai grea este sa ma pun in pielea copoiului. ce pot sa spun este ca la pornografie cu minori speta e la "crima organizata". daca ei au puterea sa plaseze problema la dgipi, sunt sanse mai mari de a evita erorile. dar sansele nu sunt 100%.

    chiar as vrea sa vad si alte pareri.

    cu stima,
    t. socaciu

    RăspundețiȘtergere
    Răspunsuri
    1. @t.socaciu: Multumesc. Cu speta asta ne incadram la procentul acela "mic" de sanse ca erorile sa nu fie evitate. Se mai intampla.
      Ideea articolului a fost de a imbunatati permanent procedurile si de a tine permanent un ochi deschis si asupra altor posibilitati decat aceea ca faptasul e titularul conexiunii, data fiind situatia de la noi.

      Orice speta are caracteristicile ei proprii, similar cum la doctor fiecare caz are particularitatile lui, chiar daca boala e aceeasi ca la multi altii, ceeace inseamna si sansa sa gresesti daca nu tii un ochi asupra particularitatilor.

      Ștergere